AccueilsécuritéDEV-0343 : Pulvérisation de mots de passe dans Office 365 d'entreprises de défense en faveur des USA et...

DEV-0343 : Pulvérisation de mot de passe sur Office 365 des sociétés de défense américaines et européennes

Le DEV-0343 est un nouvel ensemble d'activités que le Microsoft Threat Intelligence Center (MSTIC) a observé pour la première fois et a commencé à surveiller fin juillet 2021. MSTIC a observé DEV-0343 en cours d'exécution intensive pulvérisation de mot de passe auprès de plus de 250 locataires Office 365, en mettant l'accent sur les sociétés de technologie de défense américaines et israéliennes, les ports d'entrée du Golfe ou les sociétés de transport maritime mondiales ayant une présence commerciale au Moyen-Orient.

Voir également: Site piraté de Donald Trump par le turc RootAyyildiz et l'équipe 1877

DEV-0343 : Pulvérisation de mot de passe sur Office 365 des sociétés de défense américaines et européennes
DEV-0343 : Pulvérisation de mot de passe sur Office 365 des sociétés de défense américaines et européennes

Moins de 20 des locataires ciblés ont été violés avec succès, mais le DEV-0343 continue de développer ses techniques pour améliorer ses attaques. MSTIC a noté que les comptes Office 365 avec l'authentification multifacteur (MFA) activée sont sécurisés contre la pulvérisation de mot de passe.

Microsoft utilise les désignations DEV - #### comme nom temporaire attribué à un groupe de menaces inconnu, émergent ou évolutif, permettant à MSTIC de le suivre en tant qu'élément d'information unique jusqu'à ce qu'il ait une grande confiance dans l'origine ou l'identité du pirate informatique derrière lui .le business du piratage.

Voir également: La vulnérabilité d'Apache Web Server affecte les serveurs en Grèce ! [Analyse technique]

Une fois qu'il répond aux critères, un DEV devient un hacker de marque. Comme pour toute activité observée d'un organisme national, Microsoft a directement informé les clients qui ont été ciblés ou violés, en leur fournissant les informations dont ils ont besoin pour sécuriser leurs comptes.

DEV-0343 : Pulvérisation de mot de passe sur Office 365 des sociétés de défense américaines et européennes
DEV-0343 : Pulvérisation de mot de passe sur Office 365 des sociétés de défense américaines et européennes

DEV-0343 cible les entreprises de défense soutenues par les États-Unis, l'Union européenne et les partenaires du gouvernement israélien qui produisent des radars militaires, des satellites et des systèmes de communication d'urgence. D'autres activités ont ciblé des clients dans les systèmes d'information géographique (SIG), l'analyse spatiale, les ports d'entrée périphériques dans le golfe Persique et plusieurs sociétés de transport et de fret en mettant l'accent sur le Moyen-Orient.

Voir également: La police ukrainienne a arrêté un opérateur DDoS contrôlant 100.000 XNUMX bots

Cette activité illégale prend probablement en charge tles intérêts nationaux de la République islamique d'Iran basé sur une analyse du mode de vie et une vaste intersection dans le ciblage géographique et sectoriel avec les pirates iraniens. Microsoft estime que cet objectif soutient le gouvernement iranien dans la surveillance des services de sécurité et de transport maritime concurrents au Moyen-Orient pour renforcer les plans d'urgence.

DEV-0343 : Pulvérisation de mot de passe sur Office 365 des sociétés de défense américaines et européennes

L'accès à des images satellite commerciales et à des conceptions et des journaux exclusifs pourrait aider l'Iran à compenser son programme de satellites en pleine croissance. Compte tenu des précédentes attaques cyber-militaires de l'Iran contre des cibles navales et navales, Microsoft pense que cette activité augmente le risque pour les entreprises dans ces domaines, et nous encourageons ses clients dans ces secteurs et zones géographiques à examiner les informations qu'ils partagent afin de se protéger contre la menace.

Voir également: Pacific City Bank a été attaquée par le ransomware AvosLocker

Le DEV-0343 effectue des pulvérisations de mots de passe étendues qui simulent un navigateur Firefox et utilisent des adresses IP hébergées sur un réseau proxy Tor. Ils sont plus actifs entre le dimanche et le jeudi entre 7h30. et 8h30 avec une baisse d'activité importante avant 7h30. et après 8h30 (heure iranienne). Ils ciblent généralement des dizaines à des centaines de comptes dans une organisation, selon la taille.

Les pirates derrière DEV-0343 ciblent généralement deux points de terminaison Exchange - Autodiscover et ActiveSync - en tant que caractéristique de l'outil de pulvérisation d'énumération / mot de passe qu'ils utilisent. Cela permet au DEV-0343 de valider les comptes et mots de passe actifs et d'améliorer encore l'activité de pulvérisation de mots de passe.

Avec des informations de www.microsoft.com

spot_img

NOUVELLES EN DIRECT